sponsors:

Reply to comment


Вірус - Відправ СМС. Ручне вбивство.

Windows Xp Professional RU
При завантаженні, ще до появи робочого стола відкривається чарівне віконечко з проханням "заплатітє за использование еротических ресурсов" а ля "трєбуйєцца мзда".
Ясне діло, що антивірус - безсилий, інакше ця стаття не з'явилась би.
Правда файли тіла віруса вже відправлені Comodo та McAfee - так що вирішення проблеми існує.
Полазивши трошки "шляхами віруса" я знайшов його модифікацію, яку DrWeb Online Checker визначив як Trojan.Winlock.591

Trojan.Winlock.591

Щоправда активним був не цей вірус, а його модифікація, на яку сканер не реагував...
Як побороти...

Зараженою виявилась гілка реєстру HKLM\Software
Для її відновлення я скористався старим методом підміни гілки реєстру і підмінив з папки c:\windows\repair гілки system і software(заражені гілки звісно потрібно зарезервувати!!!)

В результаті вдалось завантажити майже чисту систему, якою вона була на етапі інсталяції.

Але, це по суті "крива переінсталяція", а не те, що потрібно отримати.

Для коректного відновлення - потрібно витягти "заражену" гілку software і почистити її.
З резервної копії файлу software потрібно вичистити залишки вірусу.
Для цього на свіжепіднятій системі підключив "криву гілку реєстру" з допомогою команди reg

reg.exe load hive

reg load HKLM\TEST software
В результаті є доступ до файлу реєстра, в якому потрібно відновити параметр
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Який повинен вказувати лише шлях до файлу userinit.exe.
Все інше, що вказує на різноманітні kui341.tmp з папки c:\temp або з папки Recycler - злосно грохаєм.
Після того як вичистили цей параметр і викинули все лишнє з автозавантаження
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows\CurrentVersion\Run
(реально-параноїдально можна стерти там все), повертаємо назад "заражено-відновлений" файл software в папку c:\windows\system32\config поверх того, з допомогою якого вдалось завантажити систему.

Наступний крок - чистка системи від вірусів, які до цього часу вже гарно там осіли(особливо в папці Temp, на яку вказував параметр Userinit з "кривого" реєстру).

PS. Відновлення системи зайняло трошки більше години. Абсолютне збереження всіх параметрів користувачів, за вийнятком віруса...
По підрахункам, в випадку чистої переінсталяції системи прийшлось би затратити десь ~4-6 годин на все.

PPS. З сумом дивлюсь на наступний системний блок... Там щось з "драйверами"... Мабуть...

PPPS. Далі буде!
Бажаю Вам відсутності вірусів.

Trackback URL for this post:

http://itua.name/en/trackback/715

Reply

The content of this field is kept private and will not be shown publicly. If you have a Gravatar account associated with the e-mail address you provide, it will be used to display your avatar.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <img> <center> <b> <i> <u><h1><h2><h3><h4><h5><h6><strike><q><abbr><tr><td><table><br><p><div><span><embed><object>
  • You may post code using <code>...</code> (generic) or <?php ... ?> (highlighted PHP) tags.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.

Syndicate content

Propeople Expert

експерименти

Rambler's Top100